Upload
raffaella-valenti
View
230
Download
2
Embed Size (px)
Citation preview
Microsoft Identity Microsoft Identity Management StrategyManagement Strategy
Fabrizio GrossiFabrizio Grossi
AgendaAgenda
L’origine delle specieL’origine delle specie Soluzioni Microsoft per IntranetSoluzioni Microsoft per Intranet ADAM (Active Directory Application ADAM (Active Directory Application
Mode)Mode) MIIS (Microsoft Identity Integration MIIS (Microsoft Identity Integration
Server)Server)
Origini dell’identità digitale…Origini dell’identità digitale…
All’inizio…All’inizio…
Utente finaleUtente finale
Account UtenteAccount Utente
AuthNAuthN AuthZAuthZ
Protocollo con Protocollo con embedded securityembedded security
App logicApp logic
Motore di AuthN Motore di AuthN (o N)(o N)
Motore di Motore di AuthZ o ZAuthZ o Z
ZZ Policy di AuthZPolicy di AuthZ
Identity storeIdentity store
PC-Based ComputingPC-Based Computing
NN ZZ
File & printFile & printserversservers
Monolithic LOB Monolithic LOB app serversapp servers
PC PC
EmailEmail
AppApp
CRMCRM LOBLOB HRHRZZ
NN ZZZZ NN
ZZNN ZZNN ZZNN ZZNN
ZZ ZZ
ZZ ZZ ZZ ZZ
NN ZZ
ZZ
Compare il concetto di NOS Compare il concetto di NOS DirectoryDirectory
NN ZZ
EmailEmailZZ
CRMCRM LOBLOB HRHRZZNN ZZNN ZZNNNN
NN ZZ
AppApp
ZZ
NN ZZZZ NN
ZZ ZZ
ZZ ZZ ZZ ZZ
NOS directory: logon NOS directory: logon centralizzato per i desktop, centralizzato per i desktop, file, print.file, print.
AssessmentAssessment
ID e passwords multiple per gli utentiID e passwords multiple per gli utenti Difficili da ricordareDifficili da ricordare Policy di password/lockout inconsistentiPolicy di password/lockout inconsistenti Carica di lavoro Helpdesk (password reset)Carica di lavoro Helpdesk (password reset)
Dati utente univoci in data store multipliDati utente univoci in data store multipli Gestiti manualmenteGestiti manualmente I dati diventano inconsistenti tra gli store e I dati diventano inconsistenti tra gli store e
nel temponel tempo
Identity management è faticoso e costosoIdentity management è faticoso e costoso
Active Directory Vision Active Directory Vision
Active DirectoryActive Directory
Combinare NOS e Enterprise directoryCombinare NOS e Enterprise directory Dati Utente via LDAP, Single sign on via KerberosDati Utente via LDAP, Single sign on via Kerberos Amministrazione dei computer Windows tramite PolicyAmministrazione dei computer Windows tramite Policy
Singola fonte e singola rappresentazione dei dati utente e delle Singola fonte e singola rappresentazione dei dati utente e delle policy di Autorizzazionepolicy di Autorizzazione One stop provisioning, Single point of managementOne stop provisioning, Single point of management Single sign onSingle sign on Protocolli Standard, Schema comuneProtocolli Standard, Schema comune
EmailEmail CRMCRM LOBLOB HRHR
ZZ
Active DirectoryActive Directory
L’Enterprise Directory oggiL’Enterprise Directory oggi AD supporta Windows sign-on, amministrazione basata su AD supporta Windows sign-on, amministrazione basata su
policy, Exchange 2000policy, Exchange 2000 Le directory LDAP sono implementate ma poco riutilizzateLe directory LDAP sono implementate ma poco riutilizzate
No single sign onNo single sign on Il Provisioning è ad-hocIl Provisioning è ad-hoc
““dump and import” manualedump and import” manuale
DatabaseDatabase
DUMPDUMPDUMPDUMP
EmailEmail CRMCRM LOB1LOB1 HRHRZZNN
ZZ
LDAPLDAP
NN ZZ
ZZ
LDAPLDAP
NN ZZ
NN ZZZZ NN
ZZ ZZ
ZZ
ZZNN
ZZ
NN ZZ
AppApp
ZZLOB2LOB2
ZZ
LDAPLDAP
NN ZZ
Come siamo arrivati qui?Come siamo arrivati qui?
Fattori tecniciFattori tecnici Manca un protocollo standard di autenticazioneManca un protocollo standard di autenticazione Applicazioni LDAP non sono facilmente riutilizzabiliApplicazioni LDAP non sono facilmente riutilizzabili Restrizioni sui dati nelle Directory centralizzateRestrizioni sui dati nelle Directory centralizzate
Dimensioni, Volatilità (Repliche)Dimensioni, Volatilità (Repliche)
Fattori inerenti a Active DirectoryFattori inerenti a Active Directory Non semplice da installare e sperimentareNon semplice da installare e sperimentare Incertezza: era la versione 1.0Incertezza: era la versione 1.0 Paura di applicazioni malfunzionanti che impattano Paura di applicazioni malfunzionanti che impattano
sui DCsui DC
Fattori PoliticiFattori Politici Resistenza dell’IT a modificare lo schema enterpriseResistenza dell’IT a modificare lo schema enterprise Proprietari dell’Applicazioni abituati al “full control”Proprietari dell’Applicazioni abituati al “full control”
Strategia e Soluzioni Strategia e Soluzioni Microsoft per l’Identity Microsoft per l’Identity ManagementManagement
FrameworkFramework
AutheNAutheN AuthZAuthZ AuditingAuditing Dati di Identità DigitaleDati di Identità Digitale Gestione del Ciclo di vita dell’Identità & Gestione del Ciclo di vita dell’Identità &
provisioningprovisioning
IT Goals per l’AuthenticationIT Goals per l’AuthenticationAumentare la sicurezza – Diminuire i costiAumentare la sicurezza – Diminuire i costi
Minimizzare il # di sistemi di authNMinimizzare il # di sistemi di authN Diminuire gli account da disabilitare Diminuire gli account da disabilitare Diminuire le policy di pwd/lockout da gestireDiminuire le policy di pwd/lockout da gestire Diminuire password da ricordareDiminuire password da ricordare Diminuire le chiamate all’helpdeskDiminuire le chiamate all’helpdesk
Sign-on sulle workstationSign-on sulle workstation Presentare password clear text a meno Presentare password clear text a meno
sistemi possibilesistemi possibile Fornire SSO agli utentiFornire SSO agli utenti
Web appWeb app
InfrastructureInfrastructureDirectory (AD)Directory (AD)
NN
1.1. Workstation sign-onWorkstation sign-on
2.2. Accesso a un’Appl Accesso a un’Appl infrastructure-aware. infrastructure-aware. Non è richiesto sign-Non è richiesto sign-on addizionaleon addizionale
AuthNAuthNApplicazioni Infrastructure-awareApplicazioni Infrastructure-aware
AuthNAuthNRequisiti per le Appl infrastructure-awareRequisiti per le Appl infrastructure-aware
App supporta il sign-on utente App supporta il sign-on utente Non richiede Windows client o serverNon richiede Windows client o server
Client & server usano un “trusted third-party” Client & server usano un “trusted third-party” AuthN protocol supportato dall’Infrastructure AuthN protocol supportato dall’Infrastructure authentication systemauthentication system Kerberos, SSLKerberos, SSL
Posso scegliere la piattaforma di sviluppoPosso scegliere la piattaforma di sviluppo .NET, Java/J2EE.NET, Java/J2EE
Active Directory come infrastructure Active Directory come infrastructure directorydirectory Sistema di AuthN primarioSistema di AuthN primario Punto di Pubblicazione per dati di identità Punto di Pubblicazione per dati di identità
digitali globalmente rilevantidigitali globalmente rilevanti
Perchè usare Active Directory Perchè usare Active Directory come Infrastructure Directory?come Infrastructure Directory?
Scala fino a migliaia (3-5000) di locazioni Scala fino a migliaia (3-5000) di locazioni remote attraverso link WAN lentiremote attraverso link WAN lenti
Protocolli di AuthN Standard: Kerberos, Protocolli di AuthN Standard: Kerberos, SSLSSL
Credenziali Multiple : passwords, Credenziali Multiple : passwords, smartcard, tool biometricismartcard, tool biometrici
Federation tra business units utilizzando Federation tra business units utilizzando il Forest Trustil Forest Trust
E’ in grado di amministrare i computer E’ in grado di amministrare i computer tramite Policytramite Policy
AutZ & AuditingAutZ & Auditing
Web appWeb app InfrastructureInfrastructureDirectory (AD)Directory (AD)
Audit collection (MACS)Audit collection (MACS)
1.1. App fa una AuthZ App fa una AuthZ role-based tramite role-based tramite Authorization Authorization ManagerManager
2.2. Raccolta Raccolta degli degli Audit via Audit via MACSMACS
AuthorizationAuthorizationManagerManager ZZ
AuthZAuthZ
Authorization ManagerAuthorization Manager Gestisce ruoli, non le ACL degli oggettiGestisce ruoli, non le ACL degli oggetti Semplifica reporting & auditingSemplifica reporting & auditing Gruppi basati su query LDAP: gestiscono Gruppi basati su query LDAP: gestiscono
meglio le dinamiche di businessmeglio le dinamiche di business Gli utenti non devono essere specificatamente Gli utenti non devono essere specificatamente
definiti a livello dell’Applicazionedefiniti a livello dell’Applicazione Gli utenti non devono essere aggiunti ai gruppi di Gli utenti non devono essere aggiunti ai gruppi di
ADAD
API fornita con Windows Server 2003API fornita con Windows Server 2003
Data Store dell’Identità DigitaleData Store dell’Identità DigitaleInfrastructure & Applications directoriesInfrastructure & Applications directories
Web appWeb app
InfrastructureInfrastructureDirectory (AD)Directory (AD)
2.2. App ritrova le App ritrova le info dall’ info dall’ application application directorydirectory
MetadirectoryMetadirectory(MIIS)(MIIS)
1.1. MIIS popola e MIIS popola e gestisce gli utenti gestisce gli utenti dell’application dell’application directorydirectory
Application Application DirectoryDirectory
(ADAM)(ADAM)
Dati dell’Identità DigitaleDati dell’Identità Digitale
Separa i dati in dati globali e dati specifici Separa i dati in dati globali e dati specifici dell’applicazionedell’applicazione Dati globali: schema piccolo, gestito centralmente e Dati globali: schema piccolo, gestito centralmente e
condiviso da più applicazionicondiviso da più applicazioni Dati specifici dell’applicazione: schema specifico per Dati specifici dell’applicazione: schema specifico per
ogni applicazioneogni applicazione
I dati specifici dell’Appl sono immagazzinati in I dati specifici dell’Appl sono immagazzinati in una directory specifica: ADAMuna directory specifica: ADAM Evita colli di bottiglia sullo schema dell’enterprise Evita colli di bottiglia sullo schema dell’enterprise
directorydirectory Il proprietario dell’App ha piena disponibilità della Il proprietario dell’App ha piena disponibilità della
directorydirectory Riduce i problemi delle applicazioni che danneggiano Riduce i problemi delle applicazioni che danneggiano
l’infrastruttural’infrastruttura
AD/AMAD/AM
Modello di programmazione e tool di amministrazione, Modello di programmazione e tool di amministrazione, virtualmente identici all’infrastructure Active Directoryvirtualmente identici all’infrastructure Active Directory
Competenze facilmente trasferibiliCompetenze facilmente trasferibili Download da Download da http://www.microsoft.com/downloadshttp://www.microsoft.com/downloads
Infrastructure Active Directory
LSASSLSASS
DSADSA
LDAPLDAP
SAMSAM
MAPIMAPI REPLREPL KDCKDC LanmanLanman
DNSDNS FRSFRS
dipendenze
Active Directory Application Mode
DSAMAINDSAMAIN
DSADSA
LDAPLDAP REPLREPL
Identity IntegrationIdentity Integration
LOB2LOB2 LOB3LOB3HRHR LOB1LOB1
Web appWeb app
InfrastructureInfrastructureDirectory (AD)Directory (AD)
LOB4LOB4
LOB5LOB5
33rdrd party partyLDAPLDAP
33rdrd party partyLDAPLDAP
Metadirectory+Metadirectory+provisioningprovisioning
(MIIS)(MIIS)
1.1. MIIS rileva un MIIS rileva un cambiamento in HRcambiamento in HRApplication Application
DirectoryDirectory(ADAM)(ADAM)
2.2. MIIS allinea i sistemi connessi MIIS allinea i sistemi connessi basandosi su regolebasandosi su regole
Application-Application-based sign-onbased sign-on
Gestione delle PasswordGestione delle Password
Metadirectory+Metadirectory+provisioningprovisioning
(MIIS)(MIIS)
InfrastructureInfrastructureDirectory (AD)Directory (AD)
LOB5LOB5
33rdrd party partyLDAPLDAP LOB4LOB4
1.1. L’utente cambia la L’utente cambia la password password utilizzando la web utilizzando la web appl per la gestione appl per la gestione delle passworddelle passwordPwd mgmtPwd mgmt
2.2. L’Appl di Pwd mgmt L’Appl di Pwd mgmt trova gli account trova gli account corrispondenti in MIIScorrispondenti in MIIS
3.3. LELE Password Password vengono vengono modificatemodificate
4.4. L’utente si autentica L’utente si autentica sull’ applicazionesull’ applicazione
ADAMADAM
Demo MIISDemo MIIS
Digital Identity AggregationDigital Identity Aggregation
L’aggregazione dei dati dll’identità digitale L’aggregazione dei dati dll’identità digitale semplifica lo sviluppo delle applicazionisemplifica lo sviluppo delle applicazioni Lo sviluppatore non si preoccupa della gestione dei Lo sviluppatore non si preoccupa della gestione dei
dati e della complessità dell’infrastructure directorydati e della complessità dell’infrastructure directory
Forest 3Forest 3
MIISMIIS
ADAMADAM
Forest 1Forest 1
Forest 2Forest 2
Web appWeb app
L’Appl ha L’Appl ha una vista una vista univoca univoca dell’identità dell’identità digitale digitale degli utentidegli utenti
Application-Application-specific schemaspecific schema
Globally published Globally published schemaschema
LDAP Bind RedirectLDAP Bind Redirect
Metadirectory+Metadirectory+provisioningprovisioning
(MIIS)(MIIS)
InfrastructureInfrastructureDirectory (AD)Directory (AD)
LOB5LOB5
33rdrd party partyLDAPLDAP LOB4LOB4 33rdrd party party
LDAPLDAP
1.1. ADAM sostituisce le ADAM sostituisce le directory di terze partidirectory di terze parti
2.2. MIIS mappa gli utenti ADAM su MIIS mappa gli utenti ADAM su utenti dell’infrastructure directoryutenti dell’infrastructure directory
ADAMADAM
3.3. L’utente si L’utente si valida valida sull’Applsull’Appl
4.4. ADAM ridireziona ADAM ridireziona il bind LDAP il bind LDAP verso verso l’infrastructure l’infrastructure directorydirectory
Lifecycle ManagementLifecycle Management Automatismi con Identity Integration Automatismi con Identity Integration
ServerServer Raggruppo identità da multiple stores per Raggruppo identità da multiple stores per
creare una vista singola e consistentecreare una vista singola e consistente Forza la convergenza a valori autoritativiForza la convergenza a valori autoritativi
Provisioning/de-provisioning basato su regoleProvisioning/de-provisioning basato su regole Automatizza i processiAutomatizza i processi Coming soon – integrazione con BizTalk per Coming soon – integrazione con BizTalk per
workflow complessiworkflow complessi Gestione dei gruppiGestione dei gruppi
Gruppi basati su regole con utenti provenienti da Gruppi basati su regole con utenti provenienti da identity store multipliidentity store multipli
Utilizzabili sia come distribution list che come Utilizzabili sia come distribution list che come security groupssecurity groups
Lifecycle ManagementLifecycle Management
Risparmio dei costiRisparmio dei costi Riduzione delle perdite di produttività dovute Riduzione delle perdite di produttività dovute
e attesa dell’account per i nuovi impiegatie attesa dell’account per i nuovi impiegati Riduce il numero di persone e il tempo di Riduce il numero di persone e il tempo di
gestionegestione
Migliora la sicurezzaMigliora la sicurezza Revoca immediata dell’accesso quando Revoca immediata dell’accesso quando
cambia lo stato dell’utentecambia lo stato dell’utente Disabilita accountDisabilita account Rimozione dai rule-based group se cambia il ruolo Rimozione dai rule-based group se cambia il ruolo
aziendaleaziendale
© 2003 Microsoft Corporation. All rights reserved.© 2003 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.